FreeIPA Server · 7 min read · Jan 07, 2026

Installa e Configura il Server FreeIPA su CentOS 8

FreeIPA è una soluzione integrata open-source per l’Identità e l’Autenticazione per sistemi Linux e Unix. Fornisce autenticazione centralizzata memorizzando dati su utenti, gruppi, host e altri oggetti. Offre un servizio integrato di gestione dell’identità per Linux, Mac e Windows. FreeIPA si basa su 389 Directory Server, Kerberos, SSSD, Dogtag, NTP e DNS. Fornisce un’interfaccia web per gestire gli utenti Linux e i client nel tuo dominio da una posizione centrale.

In questo tutorial, ti mostreremo come installare il server FreeIPA su CentOS 8.

Prerequisiti

  • Un server che esegue CentOS 8.
  • Una password di root configurata sul server.

Configura il Nome Host

Per prima cosa, dovrai configurare il nome host completamente qualificato nel tuo sistema. Puoi configurarlo con il seguente comando:

hostnamectl set-hostname freeipa.mydomain10.com

Successivamente, modifica il file /etc/hosts e aggiungi l’IP del tuo server e il nome host:

nano /etc/hosts

Aggiungi le seguenti righe:

45.58.43.185 freeipa.mydomain10.com

Salva e chiudi il file quando hai finito.

Installa il Server FreeIPA

Per impostazione predefinita, il pacchetto FreeIPA non è disponibile nel repository standard di CentOS. Quindi dovrai abilitare il repository idm:DL1 nel tuo sistema.

Puoi abilitarlo con il seguente comando:

dnf module enable idm:DL1

Successivamente, sincronizza il repository con il seguente comando:

dnf distro-sync

Successivamente, esegui il seguente comando per installare il server FreeIPA nel tuo sistema.

dnf install ipa-server ipa-server-dns -y

Una volta completata l’installazione, puoi procedere al passaggio successivo.

Configura il Server FreeIPA

Successivamente, dovrai configurare il server FreeIPA. Puoi configurarlo con il seguente comando:

ipa-server-install

Ti verrà chiesto di configurare il DNS integrato come mostrato di seguito:

Il file di log per questa installazione può essere trovato in /var/log/ipaserver-install.log
ipa-server-install

Il file di log per questa installazione può essere trovato in /var/log/ipaserver-install.log
==============================================================================
Questo programma configurerà il Server IPA.
Versione 4.8.4

Questo include:
  * Configurare una CA autonoma (dogtag) per la gestione dei certificati
  * Configurare il client NTP (chronyd)
  * Creare e configurare un'istanza di Directory Server
  * Creare e configurare un Centro di Distribuzione Chiavi Kerberos (KDC)
  * Configurare Apache (httpd)
  * Configurare il KDC per abilitare PKINIT

Per accettare il valore predefinito mostrato tra parentesi, premi il tasto Invio.

Vuoi configurare il DNS integrato (BIND)? [no]:

Premi Invio per selezionare no. Ti verrà chiesto di fornire il nome host del tuo server:

Inserisci il nome di dominio completamente qualificato del computer
su cui stai configurando il software del server. Utilizzando la forma
.
Esempio: master.example.com.


Nome host del server [freeipa.mydomain10.com]:

Premi Invio per selezionare il nome host predefinito. Ti verrà chiesto di confermare il tuo nome di dominio come mostrato di seguito:

Il nome di dominio è stato determinato in base al nome host.

Si prega di confermare il nome di dominio [mydomain10.com]:

Premi Invio per selezionare il nome di dominio predefinito. Ti verrà chiesto di impostare la password del manager della Directory come mostrato di seguito:

Il protocollo kerberos richiede che venga definito un nome di Realm.
Questo è tipicamente il nome di dominio convertito in maiuscolo.

Si prega di fornire un nome di realm [MYDOMAIN10.COM]: 
Certaini operazioni del server di directory richiedono un utente amministrativo.
Questo utente è chiamato Directory Manager e ha accesso completo
alla Directory per compiti di gestione del sistema e sarà aggiunto all'
istanza del server di directory creata per IPA.
La password deve essere lunga almeno 8 caratteri.

Password del Manager della Directory: 
Password (conferma):

Fornisci la tua password desiderata e premi Invio. Ti verrà chiesto di impostare la password dell’amministratore IPA come mostrato di seguito:

Il server IPA richiede un utente amministrativo, chiamato 'admin'.
Questo utente è un normale account di sistema utilizzato per l'amministrazione del server IPA.

Password admin IPA: 
Password (conferma):

Fornisci la tua password desiderata e premi Invio. Ti verrà chiesto di configurare il server NTP come mostrato di seguito:

Vuoi configurare chrony con l'indirizzo del server o pool NTP? [no]:

Premi Invio per selezionare l’opzione predefinita. Dovresti ottenere il seguente output:

Il Server Master IPA sarà configurato con:
Nome host:       freeipa.mydomain10.com
Indirizzo IP: 45.58.43.185
Nome di dominio:    mydomain10.com
Nome di realm:     MYDOMAIN10.COM

La CA sarà configurata con:
DN del soggetto:   CN=Certificate Authority,O=MYDOMAIN10.COM
Base del soggetto: O=MYDOMAIN10.COM
Chaining:     auto-firmato

Continuare a configurare il sistema con questi valori? [no]: yes

Digita yes e premi Invio per configurare il sistema con i valori sopra. Una volta completata la configurazione, dovresti ottenere il seguente output:

SSSD abilitato
Configurato /etc/openldap/ldap.conf
Configurato /etc/ssh/ssh_config
Configurato /etc/ssh/sshd_config
Configurando mydomain10.com come dominio NIS.
Configurazione del client completata.
Il comando ipa-client-install è stato eseguito con successo

impossibile risolvere il nome host freeipa.mydomain10.com. in indirizzo IP, il record DNS ipa-ca sarà incompleto
impossibile risolvere il nome host freeipa.mydomain10.com. in indirizzo IP, il record DNS ipa-ca sarà incompleto
Si prega di aggiungere record in questo file al sistema DNS: /tmp/ipa.system.records._u0fzahd.db
==============================================================================
Configurazione completata

Passi successivi:
    1. Devi assicurarti che queste porte di rete siano aperte:
        Porte TCP:
          * 80, 443: HTTP/HTTPS
          * 389, 636: LDAP/LDAPS
          * 88, 464: kerberos
        Porte UDP:
          * 88, 464: kerberos
          * 123: ntp

    2. Ora puoi ottenere un biglietto kerberos utilizzando il comando: 'kinit admin'
       Questo biglietto ti permetterà di utilizzare gli strumenti IPA (ad es., ipa user-add)
       e l'interfaccia utente web.

Assicurati di eseguire il backup dei certificati CA memorizzati in /root/cacert.p12
Questi file sono necessari per creare repliche. La password per questi
file è la password del Manager della Directory
Il comando ipa-server-install è stato eseguito con successo

Una volta terminato, puoi procedere al passaggio successivo.

Configura il Firewall e SELinux

Se firewalld è installato nel tuo sistema, dovrai consentire alcune porte utilizzate da FreeIPA. Puoi consentirle con il seguente comando:

firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent

Successivamente, ricarica il firewalld con il seguente comando per applicare le modifiche:

firewall-cmd --reload

Successivamente, dovrai anche disabilitare SELinux nel tuo sistema.

Puoi disabilitare SELinux modificando il file /etc/selinux/config:

nano /etc/selinux/config

Trova la seguente riga:

SELINUX=enforcing

E sostituiscila con la seguente riga:

SELINUX=permissive

Salva e chiudi il file. Quindi, riavvia il tuo sistema per applicare le modifiche:

Accedi all’Interfaccia Web di FreeIPA

Ora, apri il tuo browser web e accedi all’interfaccia web di FreeIPA utilizzando l’URL https://freeipa.mydomain10.com. Sarai reindirizzato alla pagina di accesso di FreeIPA come mostrato di seguito:

Gestione dell'Identità CentOS

Fornisci il tuo nome utente admin, password e fai clic sul pulsante Accedi. Dovresti vedere il dashboard di FreeIPA nella seguente pagina:

Server FreeIPA

Lavorare con FreeIPA CLI

FreeIPA fornisce anche uno strumento da riga di comando per aggiungere nuovi utenti, gruppi, principali di servizio e concedere accesso in scrittura a determinati attributi da un gruppo a un altro.

Prima di utilizzare lo strumento CLI, dovrai ottenere un biglietto Kerberos con il seguente comando:

kinit admin

Ti verrà chiesto di fornire la password come mostrato di seguito:

Password per [email protected]:

Fornisci la tua password admin e premi Invio per ottenere un biglietto Kerberos.

Successivamente, esegui il seguente comando per controllare la scadenza del biglietto:

klist

Dovresti ottenere il seguente output:

Cache del biglietto: KCM:0
Principale predefinito: [email protected]

Inizio valido       Scade              Principale di servizio
2020-09-28T03:36:54  2020-09-29T03:36:50  krbtgt/[email protected]

Successivamente, aggiungi un nuovo account utente con il seguente comando:

ipa user-add user1 --first=hit --last=jethva [email protected] --password

Dovresti ottenere il seguente output:

Password: 
Inserisci di nuovo la password per verificare: 
------------------
Utente "user1" aggiunto
------------------
  Login utente: user1
  Nome: hit
  Cognome: jethva
  Nome completo: hit jethva
  Nome visualizzato: hit jethva
  Iniziali: hj
  Directory home: /home/user1
  GECOS: hit jethva
  Shell di login: /bin/sh
  Nome principale: [email protected]
  Alias principale: [email protected]
  Scadenza password utente: 20200928073905Z
  Indirizzo email: [email protected]
  UID: 384600001
  GID: 384600001
  Password: True
  Membro dei gruppi: ipausers
  Chiavi Kerberos disponibili: True

Puoi anche elencare tutti gli account utente nel tuo sistema con il seguente comando:

ipa user-find

Dovresti vedere il seguente output:

---------------
2 utenti corrispondenti
---------------
  Login utente: admin
  Cognome: Administrator
  Directory home: /home/admin
  Shell di login: /bin/bash
  Alias principale: [email protected]
  UID: 384600000
  GID: 384600000
  Account disabilitato: False

  Login utente: user1
  Nome: hit
  Cognome: jethva
  Directory home: /home/user1
  Shell di login: /bin/sh
  Nome principale: [email protected]
  Alias principale: [email protected]
  Indirizzo email: [email protected]
  UID: 384600001
  GID: 384600001
  Account disabilitato: False
----------------------------
Numero di voci restituite 2

Conclusione

Congratulazioni! hai installato e configurato con successo il server FreeIPA su CentOS 8. Ora puoi installare il client FreeIPA e aggiungerlo al server FreeIPA per l’Autenticazione Centralizzata. Sentiti libero di chiedermi se hai domande.

Share: X/Twitter LinkedIn
#FreeIPA Server

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.